procdump 작업 실행
Execute procdump 는 선택한 프로세스에서 procdump를 실행하고, 데이터를 파일로 덤프하고, 내부 네트워크의 공유 사이트에 게시하는 powershell 작업입니다. 그런 다음 분석가는 보안 인시던트에서 빨간색으로 강조 표시된 거부 목록에 나열된 프로세스를 보고 파일에 대한 추가 분석을 수행할 수 있습니다.
결과
이 동작의 가능한 결과는 다음과 같습니다.
| 결과 | 설명 |
|---|---|
| 성공 | procdump는 process_name에서 성공적으로 실행되었으며 자세한 내용은 actionOutput.response에서 확인할 수 있습니다. |
| 실패 | procdump가 process_name에서 실행하지 못했으며 자세한 내용은 actionOutput.response에서 확인할 수 있습니다. |
입력 변수
입력 변수는 요청된 출력을 생성하는 데 사용됩니다.
| 변수 | 설명 |
|---|---|
| targetId | [필수] procdump를 실행할 대상 ID입니다. |
| process_name | [필수] procdump의 프로세스 이름입니다. |
| dump_path | [필수] 생성된 덤프 파일이 저장될 로컬 파일 경로입니다. |
| dump_filename | [필수] procdump에서 생성된 파일의 파일 이름입니다. 모든 특수 문자는 파일이 생성될 때 덤프 파일 이름에서 하이픈(-)으로 대체됩니다. |
| file_share_path | [필수] 덤프 파일을 복사할 파일 공유 경로입니다. |
출력 변수
출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다.
| 변수 | 설명 |
|---|---|
| share_path | 덤프 파일이 복사된 파일 공유 경로입니다. |
| response | procdump의 결과에 대한 JSON 표현입니다. |
| 결과 | procdump의 결과입니다. |